4.8. Мультифакторная аутентификация с подтверждением через email

  1. Для отправки почтового сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в UserGate или в доменной учетной записи в Active Directory.

Для локального пользователя UserGate необходимо перейти в свойства пользователя в разделе Пользователи и устройства --> Пользователи и указать почтовые адреса в одноимённой вкладке.

image61

Для доменной учетной записи добавить адрес электронной почты необходимо в свойствах пользователя во вкладке Общие.

image62

  1. Создать профиль оповещения по электронной почте.

Для создания профиля оповещения перейдите в раздел Библиотеки --> Профили оповещений и выберите Добавить --> Добавить профиль оповещения SMTP. Далее укажите необходимы данные.

image63

Для проверки нажмите на кнопку Проверить профиль и отправьте проверочное письмо, предварительно заполнив поля Отправитель, Получатель, Тема и Тело письма. Сохраните настройки, если проверочное письмо было получено адресатом.

Использование мультифакторной аутентификации с подтверждением через email на примере авторизации пользователей домена AD.

  1. Добавить сервер авторизации.

Перейдите в раздел Пользователи и устройства --> Серверы авторизации и добавьте LDAP коннектор (нажмите Добавить --> Добавить LDAP коннектор).

В свойствах коннектора LDAP укажите необходимые данные.

Во вкладке Настройки:

  • Название сервера авторизации.

  • Доменное имя LDAP или IP-адрес - IP-адрес сервера контроллера домена.

  • Bind DN («логин») - имя доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

  • Пароль пользователя для подключения к домену.

image64

Во вкладке Домены LDAP укажите доменное имя LDAP.

image65

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

После внесения настроек нажмите на кнопку Проверить соединение. Если настройки внесены верно, то появится следующее сообщение:

image66

Сохраните настройки LDAP коннектора.

  1. Создать профиль для мультифакторной аутентификации.

Перейдите в раздел Пользователи и устройства --> Профили MFA, нажатием на кнопку Добавить --> MFA через email перейдите в свойства профиля MFA и укажите следующую информацию.

  • Название профиля MFA.

  • Профиль отправки MFA: ранее созданный профиль оповещения по электронной почте.

  • От: адрес электронной почты пользователя, указанного в профиле оповещения MFA.

  • Тема письма.

  • Содержимое письма.

image67

Сохраните настройки профиля MFA нажатием кнопки Сохранить.

  1. Создать профиль авторизации.

Перейдите в раздел Пользователи и устройства --> Профили авторизации и добавьте профиль авторизации. В свойствах профиля укажите необходимую информацию.

  • Название профиля авторизации.

  • Созданный ранее Профиль MFA.

image68

Во вкладке Методы аутентификации укажите ранее созданный LDAP коннектор: Добавить --> Сервер LDAP/Active Directory: AD Connector и сохраните настройки профиля авторизации.

image69

Мультифакторная аутентификация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная аутентификация невозможна для методов аутентификации Kerberos и NTLM.

  1. Создать Captive-профиль.

Для создания профиля перейдите в раздел Пользователи и устройства --> Captive-профили, нажмем на кнопку Добавить. Укажите необходимые данные:

  • Название captive-профиля.

  • Выберите Шаблон страницы авторизации.

  • В поле Метод идентификации укажите Запоминать IP-адрес.

  • Ранее созданный Профиль авторизации.

Если для авторизации пользователей используется LDAP коннектор, то можно активировать функцию «Предлагать выбор домена AD/LDAP на странице авторизации».

image70

Сохраните настройки captive-профиля.

  1. Создать правило Captive-портала.

Для создания правила captive-портала перейдите в раздел Пользователи и устройства --> Captive-портал и нажмите кнопку Добавить. В свойствах правила captive-портала укажите следующую информацию:

  • Название captive-портала.

  • Ранее созданный captive-профиль.

Вкладки Источник, Назначение, Категории, URL, Время, можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

image71

  1. Настроить DNS для доменов auth.captive и logout.captive.

Служебные доменные имена auth.captive и logout.captive используется UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть.

  1. Проверить работу мультифакторной аутентификации.

В браузере пользователя перейдите на сайт, например, ya.ru: отобразится страница авторизации captive-портала:

image72

После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации, который придет на электронную почту, указанную в свойстве профиля пользователя:

image73

Введите полученный код.

image74

После ввода кода, откроется запрошенный сайт - ya.ru